BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
СообщениеДобавлено: Сб 18 ноя, 2006 1:54 pm 
Не в сети

Зарегистрирован: Чт 09 мар, 2006 3:54 pm
Сообщения: 12
Здраствуйте всем...
Прошу прощения, что я снова подымаю эту избитую тему.
Имеется два соединения к Интернету.
Необходимо, чтобы ответы на пакеты tcp/udp/icmp,приходящие с первого интернет-провайдера, уходили через GW первого провайдера и, чтобы ответы на пакеты tcp/udp/icmp, приходящие со второго провайдера, уходили через GW второго провайдера.

Не могу понять, читал много статей, но с синтакисом PF начал работать недавно, поэтому немного сложно понять, как люди делают это с помощью route-to и reply-to.

Помогите пожалуйста. Выложите простой конфиг, что я должен написать в pf.conf.
Для простоты не нужны никакие редиректы внутрь сети и будем предполагать, что все пакеты должны пропускаться\приниматься.

Заранее спасибо.
Тимур.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 2:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
у меня на 6.1 route-to не пашет :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 2:22 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
http://www.openbsd.ru/files/etc/pf-dual.conf


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 8:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
на OpenBSD оно и пашет, а на Free - болт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 20 ноя, 2006 8:09 am 
Не в сети

Зарегистрирован: Чт 09 мар, 2006 3:54 pm
Сообщения: 12
if1="rl0"
if2="ed0"
gw1="195.158.18.9"
gw2="217.29.120.241"

pass in all
pass out all

pass out route-to ($if1 $gw1) from ($if1) to !(self:network) keep state
pass out route-to ($if2 $gw2) from ($if2) to !(self:network) keep state

pass in on $if1 reply-to ($if1 $gw1) proto tcp flags S/SA tagged IF1 keep state
pass in on $if2 reply-to ($if2 $gw2) proto tcp flags S/SA tagged IF2 keep state

сделал такую схему.....с пингами все нормально работает...пакеты icmp уходят туда куда надо......но tcp сессии и udp пакеты упорно лезут в default gateway....


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 21 ноя, 2006 3:51 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Iggy Rain писал(а):
на OpenBSD оно и пашет, а на Free - болт

Ну вот не надо так однозначно... :twisted:

Например, у меня соединены два офиса через gif-ы по схеме из handbook.
Беру просто убиваю статический путь маршрута, во вторую сеть.
Пишу правила.
Код:
.... skip ....
pass in quick log on $int_if route-to ($vpn_if 192.168.2.1) inet proto tcp\
from $int_if:network to 192.168.2.4 port rdp flags S/SA keep state
pass out quick log on $vpn_if route-to ($vpn_if 192.168.2.1) inet proto tcp\
from $int_if:network to 192.168.2.4 port rdp flags S/SA keep state
.... skip .....

И почему-то работает.
Я что-то делаю не правильно, наверно ? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 23 ноя, 2006 8:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
uname -r в студию и если можно pf.conf :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 24 ноя, 2006 11:13 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
6.2-PRERELEASE от 20 ноября.
но сам PF давно уж не менялся,
Код:
# head -n 1 /usr/src/sys/contrib/pf/net/pf.c
/*      $FreeBSD: src/sys/contrib/pf/net/pf.c,v 1.34.2.4 2006/09/19 15:45:20 csjp Exp $ */

судя webcvs изменения последние исправления с route-to были в 2005г.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 7:32 am 
Не в сети

Зарегистрирован: Вт 29 мар, 2005 12:37 am
Сообщения: 130
а на ipfw такое можно сделать?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 11:15 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Возможно всё, что можно представить! :)

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 11:56 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
%head -n 1 /usr/src/sys/contrib/pf/net/pf.c
/* $FreeBSD: src/sys/contrib/pf/net/pf.c,v 1.34.2.3 2005/12/30 00:50:18 mla
ier Exp $ */

%uname -r
6.1-RELEASE-p10

насколько давно ? :-)

таки что-то уже меняли. Лано, подожду выхода 6.2


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 1:06 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Меняли, но там больше подготовка к mandatory access control.
Чуть-чуть reply-to коснулось.
http://www.freebsd.org/cgi/cvsweb.cgi/s ... ev1.34.2.4
Да как-то же люди и на 5.3 работают, судя по форумам.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: решение для FreeBSD 6
СообщениеДобавлено: Пт 16 фев, 2007 9:23 pm 
Не в сети

Зарегистрирован: Пт 16 фев, 2007 9:01 pm
Сообщения: 1
убил день чтобы настроить примерно то же самое на своей
фрюшке 6.1
Очень хочу чтобы если у кого встанет такая задачка сделали это быстрее.
К правилам тимура нужно добавить

pass out on $if1 route-to ($if2 $gw2) from $if2 to any
pass out on $if2 route-to ($if1 $gw1) from $if1 to any

Эти правила выглядят тавталогичными - типа и так уже отправили пакетики, но оказалось (tcpdump не даст соврать) что без них пакетики выходят через интерфейс прописанный в путях для адреса назначения, причем с не прописанном на этом интерфейсе ip(!)

Кроме того насколько я понимаю правила
pass out route-to ($if1 $gw1) from ($if1) to !(self:network) keep state
pass out route-to ($if2 $gw2) from ($if2) to !(self:network) keep state
нужны только если по умолчанию блокируем весь исходящий, в нашем случае их не нужно


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика